Auslagerungsmanagement und Risikoanalyse nach AT 9 MaRisk

Aus den Augen, aus dem Sinn?

Katja Hampe, Fachreferentin der Geschäftsführung, Wirtschaftsprüferin, AWADO Deutsche Audit GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft

I. Die Auslagerung – tragende Rolle auf vielen Bühnen

Das Thema Auslagerung spielt schon seit längerer Zeit eine tragende Rolle auf diversen Bühnen. Die erste dieser Bühnen ist die der internationalen Papiere, die zu diesem Thema veröffentlicht wurden. Zu nennen sind hier insbesondere Veröffentlichungen des Joint Forums (Zusammenschluss des Baseler Ausschusses für Bankenaufsicht, der IOSCO[1] und der IAIS[2]), der CEBS[3] und der EBA[4] sowie verschiedene Vorgaben der deutschen Aufsicht im Rahmen der MaRisk und des § 25b KWG[5].

Die zweite Bühne ist die der betriebswirtschaftlich sinnvollen Arbeitsteilung (Schlagwort: “Konzentration auf Kernkompetenzen”) und die dritte Bühne ist die der sehr dynamischen Entwicklung der Kreditwirtschaft in diesem Bereich.

Doch eins nach dem anderen…

II. Die Auslagerung – unser Protagonist

Zunächst eine Vorstellung unseres Protagonisten: die Auslagerung, auch bekannt als Outsourcing.

Outsourcing ist ein Kunstwort, das sich aus den drei englischen Wörtern „Outside“, „Ressource“ und „Using“ zusammensetzt. Wörtlich übersetzt bedeutet es in erster Linie „Nutzung externer Ressourcen“. Und das ist auch genau das, was das deutsche Wort „Auslagerung“ insbesondere im Sprachgebrauch der BaFin meint: Eine Auslagerung liegt dann vor, wenn ein Institut einen Dienstleister mit der Wahrnehmung von Prozessen im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt, die ansonsten vom Institut selbst erbracht würden.

 

III. Die Auslagerung – Vielseitigkeit ist ihre Stärke, aber wo Licht ist, da ist auch
Schatten

Schon diese Definition macht deutlich, dass sehr unterschiedliche Auslagerungskonzepte nicht nur denkbar sind, sondern auch genutzt werden. Am einen Ende der Skala werden lediglich einzelne Unterstützungsaufgaben oder Nebentätigkeiten auf Dritte verlagert. Dies ist ganz im Sinne der oben schon erwähnten Konzentration auf Kernkompetenzen. Warum sollte sich eine Bank selbst um Dinge wie Transport zwischen Filialen, Archivierung oder die Mitarbeiterkantine kümmern? Das können andere Anbieter im Zweifel besser und günstiger. Hier überwiegen Vorteile wie Gewinnung von Kosten- und Prozesseffizienzen, Nutzung von Skaleneffekten und Qualitätsverbesserung ganz eindeutig. Zwar dürfen auch solche Aktivitäten und Prozesse nicht ganz aus den Augen verloren werden, stehen aber nicht im Fokus der Aufsichtsbehörden.

Am anderen Ende der Skala findet sich allerdings die Auslagerung ganzer Prozessketten, kompletter bankbezogener Funktionen sowie zentraler Bereiche[6]. Hierfür interessiert sich die Bankenaufsicht naturgemäß sehr wohl. Als Risiko droht nämlich neben Zersplitterung von Prozessen, Verringerung des internen Know-hows oder Unsicherheiten bei der Kostenentwicklung, die Abhängigkeit von einem Drittunternehmen und damit Verlust von Zugriffsmöglichkeiten sowohl für die gesetzlichen Vertreter der auslagernden Bank als auch für die Aufsicht. Deshalb die Botschaft des AT 9 MaRisk: Die Gesamtverantwortung für alle ausgelagerten Prozesse und Aktivitäten verbleibt weiterhin (und nicht delegierbar) bei den gesetzlichen Vertretern des auslagernden Unternehmens. Dies umfasst insbesondere ein angemessenes und wirksames Risikomanagement, welches neben der Implementierung eines eigenen Internen Kontrollsystem (IKS) bezüglich der ausgelagerten Tätigkeit (korrespondierende Kontrollen) auch die Beurteilung des IKS des Dienstleisters beinhaltet.

IV. Das zentrale Auslagerungsmanagement – hier laufen die Fäden zusammen

Bezüglich dieser Implementierung eines eigenen Internen Kontrollsystems bezüglich der ausgelagerten Tätigkeit geht die Aufsicht – zumindest bei größeren Instituten bzw. bei Instituten mit umfangreichen Auslagerungslösungen – davon aus, dass ein zentrales Auslagerungsmanagement eingerichtet ist, so dass eine Stelle in der Bank einen Gesamtüberblick über alle ausgelagerten Aktivitäten und Prozesse hat und so ein möglichst einheitlicher Umgang mit den besonderen Risiken aus Auslagerungen und deren Überwachung sichergestellt wird. AT 9 Tz. 12 nennt als Aufgaben des zentralen Auslagerungsmanagements:

  • Implementierung und Weiterentwicklung eines angemessenen Auslagerungsmanagements und entsprechender Kontroll- und Überwachungsprozesse
  • Erstellung und Pflege einer vollständigen Dokumentation der Auslagerungen (einschließlich Weiterverlagerungen)
  • Unterstützung der Fachbereiche bezüglich der institutsinternen und gesetzlichen Anforderungen bei Auslagerungen
  • Koordination und Überprüfung der durch die zuständigen Bereiche durchgeführten Risikoanalysen

Zudem hat das zentrale Auslagerungsmanagement mindestens einmal im Jahr einen Bericht über die wesentlichen Auslagerungen zu erstellen. Dabei hat der Bericht u. a. darüber eine Aussage zu treffen, „…, ob die erbrachten Dienstleistungen der Auslagerungsunternehmen den vertraglichen Vereinbarungen entsprechen, die ausgelagerten Aktivitäten und Prozesse angemessen gesteuert und überwacht werden und ob weitere risikomindernde Maßnahmen ergriffen werden sollen“ (AT 9 Tz. 13 MaRisk).

Ein so verstandenes Einbeziehen der Auslagerungen in das unternehmensweite Risikomanagement geht über die historische Form des operativen Risikomanagements, dessen Fokus primär auf die Risikovermeidung und -minderung ausgelegt war, hinaus. Hauptziel ist das effiziente und effektive Management der ausgelagerten Bereiche, welches alle wesentlichen Einzelrisiken und deren Abhängigkeiten umfasst. Das risikoorientierte Management der ausgelagerten Bereiche hat das Ziel, eine ausgewogene Sichtweise von Risiken und Wertschöpfung über die gesamte Laufzeit des Auslagerungsverhältnisses hinweg zu etablieren. Ein moderner chancen- und risikoorientierter Auslagerungsmanagementansatz integriert die Organisation, die Aufgaben und die Instrumente in ein ganzheitliches Rahmenwerk.

Und Randnotiz oder Zwischenbemerkung: In der Praxis ergibt sich in vielen Banken ein kompliziertes Geflecht aus Auslagerungen, die eine zentrale Instanz notwendig machen, um den Überblick über die Steuerung von Auslagerungen zu behalten. Denn häufig haben es die Institute nicht mit einfachen 1:1-Beziehungen zu nur einem Dienstleister zu tun, sondern mit 1:n-Beziehungen, weil beauftragte Dienstleister ihrerseits Auslagerungen (Weiterverlagerungen) vornehmen.

V. Die Risikoanalyse – aus den Augen, aber weiterhin fest im Blick

Sofern eine Auslagerung vorliegt (wir erinnern uns: wenn ein Institut einen Dienstleister mit der Wahrnehmung von Prozessen im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt, die ansonsten vom Institut selbst erbracht würden), muss jedes Institut auf der Grundlage einer Risikoanalyse eigenverantwortlich festlegen, welche Auslagerungen von Aktivitäten und Prozessen unter Risikogesichtspunkten wesentlich sind. Wenn wir uns an die oben beschriebenen äußeren Enden einer Skala erinnern, so fällt die Beurteilung der Wesentlichkeit für diese Extreme sicherlich noch relativ leicht. Spannend sind hier eher die Auslagerungen, die sich tendenziell in der Mitte der Skala befinden und sich möglicherweise im Laufe der Zeit durch Vertragsänderungen oder besondere Feststellungen in die eine oder andere Richtung verschieben.

Eine Risikoanalyse ist zunächst für jede neue Auslagerung auf der Grundlage einheitlicher Rahmenvorgaben vor Vertragsabschluss durchzuführen.

Eine erneute Risikoanalyse ist bei Änderungen der Auslagerungsdienstleistung sowie dann erforderlich, wenn dem auslagernden Institut Umstände bekannt werden, die darauf schließen lassen, dass sich die bei der Risikoanalyse verwendeten Risikofaktoren verändert haben (anlassbezogene Risikoanalyse). Praktische Beispiele hierzu sind gesellschaftsrechtliche Veränderungen beim Dienstleister, Veränderungen beim Dienstleistungsumfang, Bekanntwerden wesentlicher Feststellungen im Rahmen von Prüfungen beim Dienstleister etc.

Zudem ist die Risikoanalyse in regelmäßigen Zeitabständen zu erneuern, auch wenn kein Anlass besteht (regelmäßige Risikoanalyse). Auf der Sitzung des Fachgremiums MaRisk am 15.03.2018 hat die Aufsicht einen Zeitraum von einem Jahr bei wesentlichen und von drei Jahren bei unwesentlichen Auslagerungen für angemessen erachtet.

Jedes Institut hat auf Basis von vorliegenden Informationen bzw. der institutsinternen Bewertung der Dienstleisterqualität der Auslagerungsunternehmen eine Aussage darüber zu treffen, ob die erbrachten Dienstleistungen der Auslagerungsunternehmen den vertraglichen Vereinbarungen entsprechen, die ausgelagerten Aktivitäten und Prozesse angemessen gesteuert und überwacht werden können, um die mit der Auslagerung verbundenen Risiken angemessen zu steuern, bzw. ob weitere risikomindernde Maßnahmen ergriffen werden sollen. Hierzu werden dem auslagernden Unternehmen vom Dienstleistungserbringer Informationen und Berichte im Zusammenhang mit der Dienstleistungserbringung zur Verfügung gestellt. Diese Informationen und Berichte sind auszuwerten.

Hier eine mögliche Arbeitshilfe für die Erstellung einer Risikoanalyse:

VI. Der große Rahmen – warum ist der Aufsicht der richtige Umgang mit Auslage-
rungen so wichtig?

Da sich Auslagerungen in vielen Fällen auch auf aufsichtliche Vorgaben beziehen (z. B. die Einhaltung von Vorgaben zur Geschäftsorganisation, bestimmte Entscheidungsprozesse und Berichtswege), spielen Auslagerungen von Banken an Drittanbieter, die i. d. R. keine Banken sind, für die Aufsicht eine bedeutende Rolle. Denn das beaufsichtigte Institut bleibt als Träger der Bankerlaubnis für die sachgerechte Umsetzung der aufsichtlichen Vorgaben letztendlich verantwortlich, auch wenn es Funktionen, Aufgaben und Prozesse auslagert.

Die Regelungen zur Auslagerung sind letztlich Teil der allgemeinen Grundsätze ordnungs-mäßiger Geschäftsführung. Die Spezialregelungen des § 25b KWG ergänzen (hinsichtlich ihrer Stellung im KWG nicht ganz überraschend) die Anforderungen an eine ordnungsgemäße Ge-schäftsorganisation aus § 25a KWG, insbesondere die Anforderungen an ein angemessenes und wirksamen Risikomanagement (§ 25a Abs. 1 Satz 3 KWG). Die Aufsicht sieht ihre Aufgabe darin, der möglichen Gefahr zu begegnen, dass das leistungsbeziehende Institut mit einer Auslagerung die Kontrolle über die ordnungsgemäße Durchführung der Geschäfte und Dienstleistungen und damit über die eigenen Aktivitäten und Prozesse verliert. Kurz: „Aus den Augen, aus dem Sinn” (in der Bedeutung nach wiktionary.org „sofortiges Vergessen einer Angelegenheit, Sache, Person oder dergleichen, sobald sie „außer Sichtweite ist“) soll verhindert werden. Das übrigens auch aus Sicht eines weiteren Akteurs, den wir bisher noch nicht betrachtet haben: des Jahresabschlussprüfers.

 

 

VII. …und darüber hinaus – auch der Jahresabschlussprüfer interessiert sich für
Auslagerungen

Dazu lasen wir mal die Einleitung eines aktuellen Werkes, das sich an Abschlussprüfer richtet[7], auszugsweise zu Wort kommen: „Der Abschlussprüfer wird sich im Hinblick auf seine Prüfungsplanung damit auseinandersetzen müssen, in welchem Umfang und in welchem Ausmaß Auslagerungen stattfinden und welche Fehlerrisiken für die Rechnungslegung darin enthalten sind. Um diesen Fehlerrisiken adäquat zu begegnen, gilt es, bedeutsame Kontrollen auf Seiten des Dienstleisters zu identifizieren und anhand geeigneter Prüfungshandlungen zu beurteilen. Aber oftmals scheitern eigene Prüfungshandlungen an der räumlichen Trennung oder der Größe und Komplexität des Dienstleisters. Natürlich könnte der Abschlussprüfer mangels Prüfbarkeit und Nachweisführung eines angemessenen und wirksamen IKS den Anteil seiner aussagebezogenen Prüfungshandlungen erhöhen. Vor dem Hintergrund automatisierter und aufeinander abgestimmter Prozessabläufe ist dies jedoch eine mühsame und beinahe unmögliche Methode, um die erforderliche Prüfungssicherheit zu erlangen. Möglicherweise gibt es aber auch Nachweise über das IKS beim Dienstleistungsunternehmen, die er verwerten oder gar verwenden kann.“

Da sind wir wieder bei den oben schon erwähnten „Informationen und Berichten im Zusammenhang mit der Dienstleistungserbringung”, die das auslagernde Institut dem Abschlussprüfer (bitte ausgewertet!) zur Verfügung stellt. Genannt seien hier explizit Prüfungsberichte bzw.
-bescheinigungen nach IDW PS 951[8] „Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen”[9]. Und lassen Sie sich von jemandem, der selbst Abschlussprüfer ist, sagen, dass das was hier so scheinbar harmlos daher kommt („… könnte der Abschlussprüfer mangels Prüfbarkeit und Nachweisführung eines angemessenen und wirksamen IKS den Anteil seiner aussagebezogenen Prüfungshandlungen erhöhen.“), erstens (viel) Zeit kostet und Zeit ist Geld (Stichwort „Prüfungskosten“) und zweitens im schlimmsten Fall auch ernste Konsequenzen hat: Wenn der Abschlussprüfer nicht in der Lage ist, ausreichende und angemessene Prüfungsnachweise bezüglich des Dienstleistungsunternehmens zu erlangen, die für die Prüfung des Abschlusses des auslagernden Unternehmens relevant sind, ist das Prüfungsurteil im Bestätigungsvermerk einzuschränken oder gar zu versagen.

Und da sind wir dann ganz schnell wieder bei den „Anforderungen an eine ordnungsgemäße Geschäftsorganisation aus § 25a KWG“ und der nicht delegierbaren Gesamtverantwortung der gesetzlichen Vertreter des auslagernden Unternehmens für alle ausgelagerten Prozesse und Aktivitäten.

VIII. Fazit – „des Pudels Kern“

Kerngedanke des Auslagerungsmanagements ist, dass auch im Falle einer Auslagerung die Funktionsfähigkeit der auslagernden Bank jederzeit gewährleistet sein muss, die Verantwortung des Vorstandes unangetastet bleibt, Kontroll- und Überwachungspflichten unverändert beachtet werden und – last but not least – die Aufsicht weiterhin Zugriff auf die ausgelagerten Teile behält. Also alles andere als „aus den Augen, aus dem Sinn”.

PRAXISTIPPS

  • Denken Sie immer daran, dass Sie als Bank für die ausgelagerte Dienstleistung weiterhin die Gesamtverantwortung tragen, nicht das Dienstleistungsunternehmen; lassen Sie sich bezüglich Informationen und Berichten im Zusammenhang mit der Dienstleistungserbringung nicht mit pauschalen Aussagen (z. B. „weitere Unterlagen wollte noch nie jemand haben“ oder „bei uns hat noch kein Auslagernder selbst vor Ort geprüft“ oder „wir benötigen keine neue Zertifizierung, bei unseren Kontrollen hat sich eh nichts geändert“) „abspeisen“.
  • Die Auswertung der Berichterstattung der Dienstleistungsunternehmen ist zentraler Baustein der Dienstleistersteuerung – aus Sicht der Bankenaufsicht z. B. im Rahmen von § 44- KWG-Sonderprüfungen „ist nur ein ausgewerteter Bericht ein gültiger Bericht“.
  • Gestaltet Sie Ihre (ausgelagerten) Prozesse durch eine zentrale Dienstleistersteuerung effizient.
  • Achten Sie darauf, dass in (neuen oder geänderten) Auslagerungsverträgen die Durchführung von Prüfungshandlungen vor Ort durch Sie als auslagerndes Unternehmen ermöglicht wird; verlassen Sie sich nicht auf das Wohlwollen des Dienstleistungsunternehmens.
  • Stellen Sie sicher, dass Sie Ihrer Pflicht zur Dokumentation von ausgelagerten Prozessen nachkommen können. Fordern Sie also von den Dienstleistern ein, die auf ihn ausgelagerten (Teil-)Prozesse nachvollziehbar zu dokumentieren und an Sie als auslagerndes Unternehmen herauszugeben.
  1. IOSCO: International Organisation of Securities Commissions (internationale Organisation der Wertpapieraufsichtsbehörden).
  2. IAIS: International Association of Insurance Supervisors (internationale Vereinigung der Versicherungsaufsichtsbehörden).
  3. CEBS Committee of European Banking Supervisors (Ausschuss der Europäischen Bankaufsichtsbehörden); bis 2010 Vorgängerinstitution der EBA.
  4. EBA: European Banking Authority (Europäische Bankenaufsichtsbehörde).
  5. Joint Forum: Outsourcing in Financial Services, Februar 2005; CEBS Guidelines on Outsourcing, Dezember 2006, EBA: Guidelines on Internal Governance, September 2017.
  6. Eine vollständige Auslagerung der besonderen Funktionen Risikocontrolling-Funktion, Compliance-Funktion oder Interne Revision ist nur in sehr engen Grenzen möglich (vergl. AT 9 Tz. 5 MaRisk).
  7. Tritschler/Lamm „Jahresabschlussprüfung bei Outsourcing und Cloud-Computing“, IDW Verlag GmbH, 1. Aufl. 2018, S. 10,11
  8. Institut der Wirtschaftsprüfer in Deutschland e.V., Prüfungsstandard IDW PS 951 n.F.
  9. In Abhängigkeit von der Auftragserteilung wird die Berichterstattung nach IDW PS 951 gem. Typ 1 oder Typ 2 durchgeführt. Im Rahmen der Berichterstattung Typ 1 stehen folgende Prüfungsurteile im Fokus:
    – Beschreibung des dienstleistungsbezogenen internen Kontrollsystems

    • Eignung der zugrunde gelegten Kriterien und der daraus abgeleiteten Kontrollziele
    • Ausgestaltung der Kontrollen zur Erreichung der in der Beschreibung genannten Kontrollziele

    Im Rahmen der Berichterstattung Typ 2 wird das Prüfungsurteil um die Wirksamkeit der Kontrollen ergänzt. Eine weitgehendere Reduzierung der Einschätzung der Fehleranfälligkeit durch den Auslagernden bzw. den Abschlussprüfer ist dabei nur möglich, wenn eine Berichterstattung vom Typ 2 vorliegt, da hier neben der Aufbau- auch Funktionsprüfungen durchgeführt wurden. Bei Vorliegen einer Berichterstattung vom Typ 1 bedarf es noch weiterer Prüfungshandlungen durch den Verwerter. Dies ist mit zusätzlichem Zeitaufwand respektive höheren Kosten verbunden.

 

Beitragsnummer: 71003

 

Mehr Sicherheit im Zahlungsverkehr

Die PSD2 im Fokus der Internen Revision

Marcus Theil, FINCON Unternehmensberatung GmbH

Fragen Sie doch einmal die Zahlungsverkehrsspezialisten in Ihren Kreditinstituten nach bedeutsamen Terminen in 2019. Ein Datum dürfte dann auf jeden Fall genannt werden, denn zum 14.09.2019 treten die technischen Regulierungsstandards (EBA-RTS) zur starken Kundenauthentifizierung und zu sicheren offenen Kommunikationsstandards in Kraft. Mit den EBA-RTS wird ein wichtiger Bestandteil der zweiten EU-Zahlungsdiensterichtlinie (EU 2366/2015, PSD2) wirksam. Gleichzeitig wird die Sicherheit der Zahlungsverkehrsprozesse noch ein Stück weiter als bisher in den Fokus von europäischer und nationaler Aufsicht gerückt.

Starke Kundenauthentifizierung als (neuer) Grundsatz

Bereits Art. 97 PSD2 sieht vor, dass Zahlungsdienstleister von ihren Nutzern nicht nur beim (Online-)Zugriff auf Zahlungskonten und bei der Auslösung von Transaktionen eine starke Kundenauthentifizierung verlangen. Auch bei allen weiteren Vorgängen, die das Risiko eines Betrugs oder sonstigen strafbaren Handlung bergen, muss diese vom Kunden eingeholt werden.

Die EBA-RTS spezifizieren diese Anforderungen, indem sie festlegen, welchen Anforderungen die starke Kundenauthentifizierung (SCA) genügen muss (vgl. Art. 4-9 EBA-RTS). Dies sind zum Beispiel:

  • die Abfrage von mindestens zwei unabhängig voneinander bestehenden Authentifizierungskriterien aus den Kategorien Wissen (z. B. PIN-Code), Besitz (z. B. Token) oder Inhärenz (biometrische Faktoren, z. B. Fingerabdruck),
  • die dynamische Verknüpfung von Transaktions- und Kontodaten mit dem generierten Authentifizierungscode (z. B. TAN), so dass dieser ausschließlich für den auslösenden Kunden und den jeweiligen Zahlungsbetrag gilt,
  • die Fälschungssicherheit von Authentifizierungscodes und die Unmöglichkeit, aus einem bekannten Code weitere gültige Authentifizierungscodes zu berechnen sowie
  • die Absicherung des Online-Zugangs, z. B. durch die Festlegung einer maximalen Anzahl von fehlgeschlagenen Anmeldeversuchen und der automatischen Abmeldung vom Online-Zugang bei Inaktivität.

Damit dürften die meisten der aktuell gängigen Authentifizierungsverfahren bereits heute den Anforderungen der EBA-RTS genügen. Der Teufel steckt jedoch auch hier – wie meistens – im Detail, so dass sich ein Blick darauf „mit der Revisionsbrille“ durchaus lohnen kann. Bei Instituten, die ihren Kunden jedoch noch ältere Verfahren anbieten (z. B. indizierte TAN-Verfahren), besteht diesbezüglich in jedem Fall Handlungsbedarf.

Darüber hinaus ist kritisch zu hinterfragen, welche Geschäftsvorfälle im Online-Banking angeboten werden und ob diese durch eine SCA abgesichert werden müssen. Denn auch Geschäftsvorfälle, die nicht unmittelbar in einem Zusammenhang mit einer Transaktion stehen, können durchaus mit einem Risiko verbunden sein. Die Veränderung von Online-Banking-Limits durch den Kunden oder der Versand von Textnachrichten an den Kundenberater (die einen konkreten Arbeitsauftrag beinhalten) sind hier gute Beispiele.

TAN-los bezahlen – aber sicher?!

Keine Regel ohne Ausnahme – so ist auch bei der SCA. In den Artikeln 10 bis 18 der EBA-RTS definiert der europäische Gesetzgeber neun Ausnahmetatbestände, bei welchen vom Grundsatz der starken Kundenauthentifizierung abgewichen werden kann. Die erfolgt insbesondere mit dem Ziel, den Bezahlvorgang für den Zahlungsdienstnutzer u. a. bei kleineren Zahlbeträgen zu vereinfachen:

Die Kreditinstitute müssen insbesondere unter strategischen bzw. geschäftspolitischen Gesichtspunkten entscheiden, welche der Ausnahmen gem. Art. 10 bis 18 EBA-RTS für die einzelnen (Online-)Geschäftsvorfälle genutzt werden sollen.

Besonders „attraktiv“ erscheint dabei zunächst die Anwendung der Transaktionsrisikoanalyse gem. Art. 18 EBA-RTS, da diese auf eine Vielzahl von Geschäftsvorfällen anwendbar ist und mit einem Maximalbetrag von 500 € den weitesten Spielraum zum Verzicht auf eine SCA lässt. Gleichwohl gelten für die Nutzung dieser Ausnahme weitere Anforderungen und es ist einiger Implementierungsaufwand damit verbunden:

  • Implementierung eines Verfahrens zur Echtzeitrisikoanalyse von Transaktionen, welches u. a. das bisherige Ausgaben- und Verhaltensmuster, ungewöhnliche Informationen über Zugriff und Zugangsgerät des Auftraggebers (z. B. Manipulationsverdacht), bekannte Betrugsszenarien und risikobehaftete oder ungewöhnliche Aufenthaltsorte des Zahlers berücksichtigt.
  • Quartalsweise Ermittlung der Betrugsrate des Instituts. Die Betrugsrate soll dabei die in Anhang 2 der EBA-RTS definierten Referenzbetrugsraten nicht übersteigen:

  • Bereitstellung einer umfassenden Überwachungsstatistik, welche sowohl betrügerische als auch ordnungsgemäße Zahlungen hinsichtlich der Kriterien geographische Zuordnung (Inlandszahlung, Zahlung in den europäischen Wirtschaftsraum EWR oder darüber hinaus), Art der Kundenauthentifizierung (starke Kundenauthentifizierung oder Nutzung einer Ausnahme gem. Art. 10 bis 18 EBA-RTS) und Art des Betrugs (unautorisierte Zahlung, Veränderung einer Zahlung oder Manipulation des Zahlers) unterscheidet.

Es muss dabei durch geeignete Verfahren sichergestellt werden, dass eine Nutzung der Ausnahme gem. Art. 18 bei Überschreiten der Referenzbetrugsraten in zwei aufeinanderfolgenden Quartalen verhindert wird. Eine erneute Nutzung ist aber zulässig, wenn in einem weiteren Folgequartal die Referenzbetrugsrate wieder unterschritten wird und eine entsprechende Anzeige bei der Bundesanstalt für Finanzdienstleistungsaufsicht erfolgt.

Mehr Transparenz über Betrugsfälle

Aufgrund der Menge an statistischen Daten, die bei der Nutzung der Transaktionsrisikoanalyse zu Steuerungs- und aufsichtsrechtlichen Zwecken bereitgestellt werden müssen, lohnt es sich, gleichzeitig einen Blick auf die EBA-Leitlinien über die Anforderungen zur Meldung von Betrugsfällen zu werfen. Auch hier sind die Zahlungsdienstleister aufgefordert, umfangreiches Zahlenmaterial zu erheben und in einem halbjährlichen Turnus an die Bundesanstalt für Finanzdienstleistungsaufsicht zu melden.

Betroffen sind dabei neben Überweisungen und kartengebundenen Zahlungsvorgängen auch weitere Zahlungsdienste wie z. B. Lastschriften, Bargeldbezug mit Karte, Finanztransfers und über Zahlungsauslösedienste initiierte Zahlungsvorgänge. Auch hier wird eine Differenzierung der statistischen Daten nach Kriterien wie geographischer Zuordnung, Betrugsmethoden und Art der Authentifizierung verlangt.

Um den Umsetzungsaufwand für die Implementierung der Überwachungsstatistiken gem. der EBA-RTS zur starken Kundenauthentifizierung und der o. g. EBA-Leitlinien möglichst gering zu halten, ist eine konsolidierte Betrachtung der jeweiligen Anforderungen und eine gemeinsame Umsetzung ratsam. Gleichzeitig profitieren die Institute von den neu hinzugewonnenen Daten, da auf dieser Basis eine stärker am Risiko ausgerichtete Kontroll- und Überwachungsmaßnahmen ermöglicht werden.

PSD 2 – Schwerpunktthema in 2019

Die Umsetzung der PSD 2 wird das Zahlungsverkehrsjahr 2019 entscheidend prägen. Dabei stehen die Erhöhung der Sicherheit und die Steigerung der Transparenz über die Risiken von Zahlungsverkehrsprozessen im Vordergrund. Darüber hinaus gibt es für die Institute noch mehr zu tun: Zum Beispiel für die erforderliche Anbindung von Kontoinformationsdiensten, Zahlungsauslösediensten und Drittkartenemittenten an ihre Zahlungsverkehrssysteme (Stichwort: Drittdienstleisterschnittstelle) sind weitere Kapazitäten einzuplanen.

Die mit der Umsetzung der PSD2 verbundenen Risiken sollten sich im Rahmen der Jahresplanungen von Informationssicherheits-, Geldwäsche- und Datenschutzbeauftragten und der MaRisk-Compliance-Funktion sowie der risikoorientierten Prüfungsplanung der Internen Revision entsprechend niederschlagen.

PRAXISTIPPS

  • Prüfen Sie Ihre Authentifizierungsverfahren im Kontext der Anforderungen an die starke Kundenauthentifizierung.
  • Analysieren Sie ihre online verfügbaren Geschäftsprozesse hinsichtlich der Erfordernis einer starken Kundenauthentifizierung und inwiefern die Ausnahmen gemäß Art. 10 bis 18 EBA-RTS in Anspruch genommen werden können.
  • Begleiten Sie die Implementierung der Verfahren zur Nutzung der Transaktionsrisikoanalyse gem. Art. 18 EBA-RTS unter Revisionsgesichtspunkten und beurteilen Sie die Ordnungsmäßigkeit der zu ermittelnden Betrugsraten und Statistikdaten.
  • Aktualisieren Sie die Risikobewertung für das Prüffeld „Zahlungsverkehr“ vor dem Hintergrund der Anforderungen aus der PSD 2 und stellen Sie deren risikoadäquate Berücksichtigung im Prüfungsplan 2019 sicher.

SEMINARTIPPS

Praxisprobleme Kontoführung & Zahlungsverkehr, 26.06.2019, Köln.

Digitalisierung im Konten/-Zahlungsverkehr: Praxis&Prüfung, 26.09.2019, Frankfurt/M.

Beitragsnummer: 70946

Anforderungen an ein angemessenes Berechtigungsmanagement

Die BAIT zeigen den Handlungsbedarf im Zusammenhang mit der Einhaltung und Umsetzung aufsichtsrechtlicher Vorgaben beim Berechtigungsmanagement auf.

Stephan Wirth, Datenschutzbeauftragter und Informationssicherheitsbeauftragter, NRW.BANK

Berechtigungsmanagement als Teil der Unternehmens-Compliance

Die Implementierung risikoorientierter Prozesse und Verfahren im Rahmen der Steuerung von Berechtigungen ist ein kritischer Erfolgsfaktor zur Erreichung einer angemessenen Compliance im Unternehmen. Ein ganzheitliches und rollenbasiertes Berechtigungsmanagement ist erforderlich zur Sicherstellung eines adäquaten Schutzniveaus und damit zur Gewährleistung der Einhaltung der aufsichtsrechtlichen Anforderungen. Genau hier sieht die Aufsicht einen zum Teil erheblichen, Handlungsbedarf und hat die Vorgaben der MaRisk durch die Regelungen der BAIT konkretisiert.

Grundlagen zur Gewährung von Berechtigungen

Berechtigungskonzepte müssen konsistent zum Schutzbedarf der betroffenen Informationen aufgesetzt werden. Dabei sind die Berechtigungen aus fachlicher Sicht streng nach dem Need-To-Know-Prinzip zu vergeben. Die Anforderungen an eine angemessene Funktionstrennung sind zwingend zu beachten. Hierzu ist eine Zuordnung einzelner Berechtigungen zu betrieblichen Funktionen hilfreich. Eine technische Umsetzung der Funktionstrennung ist dabei anzustreben.

Umfang des Berechtigungsmanagements

Im Rahmen des Berechtigungsmanagements sind sämtliche Arten von Berechtigungen zu berücksichtigen. Hierzu zählen sowohl personalisierte als auch nicht-personalisierte und technische Nutzer. Aufgrund ihres erweiterten Berechtigungsumfangs und des damit einhergehenden höheren Risikopotentials sind privilegierte Berechtigungen besonders restriktiv zu vergeben und deren Nutzung zu kontrollieren.

Das Berechtigungsmanagement deckt den gesamten Lebenszyklus von Berechtigungen ab. Es müssen Genehmigungs- und Kontrollprozesse für die Einrichtung, Änderung, Deaktivierung und Löschung von Berechtigungen aufgesetzt werden. Ein zentrales Berechtigungsmanagement ermöglicht formalisierte und institutsübergreifende Prozesse und eine vollständige Benutzer- und Berechtigungshistorie.

Regelmäßige Rezertifizierungen

Eingeräumte Berechtigungen für Anwender sind regelmäßig dahingehend zu überprüfen, ob sie weiterhin für die Erfüllung der betrieblichen Aufgaben erforderlich sind. Im Rahmen regelmäßiger und risikoorientierter Rezertifizierungen sind auch die zugrunde liegenden Konzepte angemessen auf Anpassungsbedarf hin zu untersuchen. Die Überwachung der Rezertifizierungsprozesse und -ergebnisse erfolgt durch unabhängige Funktionen im Unternehmen (z. B. den Informationssicherheitsbeauftragten).

PRAXISTIPPS

  • Ein umfassendes und risikoorientiertes Berechtigungsmanagement ist erforderlich, um einen angemessenen Schutz Ihrer Unternehmenswerte sicherzustellen.
  • Beachten Sie das Need-To-Know-Prinzip und stellen Sie eine ausreichende Funktionstrennung sicher.
  • Für privilegierte Rechte bestehen besondere Anforderungen an Prüfung, Überwachung und (zeitliche) Limitierung.
  • Der Rezertifizierungsprozess ist risikoorientiert aufzusetzen und beinhaltet sämtliche Bestandteile des Berechtigungsmanagements.

SEMINARTIPPS

IT-Compliance, 04.06.2019, Frankfurt/M.

6. Fachtagung IT-Revision, 05.-06.06.2019, Frankfurt/M.

FCH Fit & Proper VORSTAND: Risikomanagement, 06.05.2019, Berlin.

IT-Risikomanagement aktuell, 08.05.2019, Frankfurt/Offenbach.

Prozess- & Aufgabenbezogenes Berechtigungsmanagement, 05.11.2019, Wiesbaden.

Beitragsnummer: 62190

InstitutsVergV: Prüfung der neuen Regelungen – Auswahl von Themen

Praktische Hinweise zur Prüfung der neuen Regelungen der InstitutsVergV.

Recep, Bay, Prüfer für Interne RevisionssystemeDIIR, CRMA, Leiter Koordination Regulatorik, Bürgschaftsbank Baden-Württemberg GmbH.

I. Einleitung

1. Institutsvergütungsverordnung

Die am 04.08.2017 in Kraft getretene Institutsvergütungsverordnung beinhaltet bankaufsichtsrechtliche Mindestanforderungen für die Vergütungssysteme von deutschen Finanzinstituten. Am 04.08.2017 ist die zweite Novelle der Institutsvergütungsverordnung (InstitutsVergV) in Kraft getreten, um die überarbeiteten „Guidelines on Sound Renumeration Policies“ (EBA/GL/2015/22 vom 21.12.2015) in nationales Recht umzusetzen. Zur Konkretisierung dieser Verordnung hat die BaFin die dazugehörige Auslegungshilfe am 16.02.2018 veröffentlicht. Die Novellierung stellt verschärfte Anforderungen an die Vergütungssysteme der Institute. Die neuen Regelungen erfordern weitreichende prozessuale Anpassungen in den betroffenen Instituten. Die wesentlichen neuen Regelungen betreffen die aufgewertete Stellung der Kontrolleinheiten, Angemessenheit der Vergütungssysteme (Vermeidung von Interessenskonflikten mit Kunden), Dokumentationsanforderungen, Vergütungselemente (Zuordnung aller Vergütungselemente zu fix und variabel, Grundsätze zur Bemessung und Auszahlung von Abfindungen).

Die Regelungen gelten ab sofort für alle Institute, wobei für bedeutende Institute zusätzliche Anforderungen geregelt wurden. Dabei wird den Bereichen Personal, Unternehmenssteuerung, Compliance und Interne Revision eine hohe Bedeutung beigemessen.

Für die Interne Revision in den Instituten bedeutet es nachzuvollziehen, ob die Institute ihre Vergütungssystematik auf Konformität überprüft und die durchgeführten Anpassungen nachvollziehbar dokumentiert ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Aufsichtsprotokoll zum AT 9 – hohe Relevanz für die Interne Revision

Lukas Walla, Berater, FCH Consult GmbH

Die Aufsicht hat das finale Protokoll zum Thema Auslagerungen veröffentlicht. Auch wenn einige Klarstellungen getroffen wurden, bleiben leider weiterhin Fragestellungen offen.

Für die Auswertung von Berichten der Mehrmandantendienstleister ist eine Interpretationshilfe für die Analyse zulässig. Ebenfalls können verbandsgeprüfte Institute sich einer zentralen verbandsseitigen Auswertung bedienen. Dies betrifft ebenfalls die Auswertung von Revisionsberichten des Dienstleisters.

Bedient sich die Interne Revision des Spezialwissens der Konzernrevision ist dies regelmäßig als Auslagerung einzustufen. Anhand einer Risikoanalyse ist zu beurteilen, ob es sich hierbei um eine wesentliche oder unwesentliche Auslagerung handelt. Solche Konstellationen werden derzeit in vielen Häusern noch nicht als Auslagerung eingestuft, weshalb hier zeitnah eine Analyse stattfinden sollte.

SEMINARTIPPS

Prüfung §18/18a KWG-Prozesse: Neue (BauFi)Kreditwürdigkeitsanalyse, 20.05.2019, Frankfurt/M.

Auslagerungen im Fokus der MaRisk und BAIT, 05.12.2019, Köln.

Bezüglich der Risikoanalyse wird seitens der Aufsicht für wesentliche Auslagerungen ein jährlicher Turnus und für unwesentliche Auslagerungen ein Turnus von drei Jahren als angemessen erachtet. Durch die Einbindung der Internen Revision ist diese auch direkt betroffen. Da sonstige Fremdbezüge nicht gleichbedeutend mit einem Nichtvorliegen eines Risikos sind, ist zu prüfen, ob bei den bestehenden Prozessen sonstige Fremdbezüge ausreichend einbezogen werden und ein Urteil hinsichtlich des Risikos möglich ist.

BUCHTIPP

Ritz/Schmitz/Walla (Hrsg.), Risikoanalyse für Auslagerungen in der Kreditwirtschaft, 2018.

Die Wartung entsprechender Software wird regelmäßig als Auslagerung einzustufen sein. Dies ist nicht der Fall, sofern das Institut die Patches selbst einspielt und eine Bewertung hinsichtlich der erweiterten Funktionen und Fehlerbehebungen machen kann. Wie auch in der schon Vergangenheit ist zu prüfen, inwieweit die Revisionssoftware unter den Tatbestand der Auslagerung fällt und welche Risiken hiermit verbunden sind.

Da es keinen Bestandschutz für Auslagerungsverträge gibt, sollte sichergestellt sein, dass das Institut einen vollständigen Überblick über sämtliche Drittleistungen hat und die Verträge den Vorgaben der MaRisk entsprechen.

Beitragsnummer: 60068

Berufs-Ethik in der Internen Revision

Förderung ethischer Grundsätze im Berufsstand der Internen Revision.

Ralf Barsch, FCH Consult GmbH, Geschäftsführer, CIA und Prüfer für Interne Revisionssysteme.

I. Ethikkodex als Basis für vertrauensvolle Revisionsarbeit

Der Ethikkodex gehört neben der Definition zur Internen Revision, den Grundprinzipien und den Standards selbst zu den sogenannten „verbindlichen Leitlinien” der Internationalen Grundlagen für die berufliche Praxis der Internen Revision (IPPF)[1].

Gemäß den Ausführungen zum Ethikkodex in den internationalen Standards für die berufliche Praxis der Internen Revision „beschreibt der Ethikkodex die Prinzipien für und Erwartungen an Einzelpersonen und Organisationen bei der Durchführung von Revisionsaufträgen”. Es wird ausdrücklich darauf hingewiesen, dass es sich hierbei lediglich um Minimalanforderungen an das Verhalten der Betroffenen handelt.

Der Ethikkodex wird als notwendig angesehen, damit das Vertrauen in seine objektive Prüfung (…) begründet werden kann. Er umfasst Grundsätze und Verhaltensregeln für Interne Revisoren, welche nachfolgend kurz dargestellt und erläutert werden.

II. Grundsätze und Verhaltensregeln als Bestandteil des Ethikkodexes

Der Grundsatz der „Rechtschaffenheit von Internen Revisoren begründet Vertrauen und schafft damit die Grundlage für die Zuverlässigkeit ihres Urteils.” Die Verhaltensregeln gehen einige Schritte weiter und erwarten, dass Interne Revisoren

  • ihre Aufgabe korrekt, sorgfältig und verantwortungsbewusst wahrnehmen,
  • ...

    Weiterlesen?


    Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

    Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

    Anmeldung/Registrierung

    Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Berichterstattung der Internen Revision an die Organe

Auswirkungen der MaRisk-Novelle 2017 auf den Quartals- und den Gesamtbericht an den Vorstand und den Aufsichtsrat.

Mario Pries, Wirtschaftsprüfer, AWADO Deutsche Audit GmbH, Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft.

I. Einleitung

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat mit Schreiben vom 27.10.2017 die finale Fassung der lange erwarteten, überarbeiteten Mindestanforderungen an das Risikomanagement (MaRisk)[1] veröffentlicht. Die überarbeitete Fassung der MaRisk enthält eine Vielzahl von Klarstellungen, die mit der Veröffentlichung sofort in Kraft getreten sind, und darüberhinausgehende, materielle Neuerungen, für die eine Umsetzungsfrist bis zum 31.10.2018 eingeräumt wurde. Die BaFin wurde getrieben durch die internationale Diskussion zum Thema Risikokultur, Regelungen und Leitlinien auf internationaler (insbesondere BCBS 239[2]) und auf europäischer (insbesondere Vorgaben der EBA und EZB) Ebene, die mit dem Rundschreiben in deutsches Recht transferiert wurden[3].

Der Abschnitt „Besondere Anforderungen an die Ausgestaltung der Internen Revision“ (BT 2 MaRisk[4]) hat auch Anpassungen erfahren. Es finden sich Neuerungen in BT 2.2 Tz. 3 (Neuregelung Übergangsfristen bei Mitarbeiterwechsel) und in BT 2.3. Tz. 1 und 2 (Anpassung der Prüfungsplanung und -durchführung) sowie eine Klarstellung in BT 2.4 Tz. 4 (Erweiterung um den Quartalsbericht); BT 2.4 Tz. 6 (Berichterstattung an den Aufsichtsrat) wurde gestrichen ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Geldwäschebekämpfung 4.0

Verbleibende Unsicherheiten in der Praxis.

Elmar Scholz, Chief Compliance Officer u. Abtl.-Direktor, OE Compliance und Marktservice, Abteilungsleitung, Prävention gegen Geldwäsche/Terrorismusfinanzierung/sonstige strafbare Handlungen, Compliance, Spezialthemen (z. B. FATCA, QI), Sparkasse am Niederrhein

Am 26.06.2017 wurde das Umsetzungsgesetz zur 4. EU-Geldwäsche-Richtlinie in Kraft gesetzt. Die Vorgehensweise der Legislative und die sich anschließenden Fragestellungen des sofort gültigen Gesetzes stellte Geldwäschebeauftragte, Prüfer und Verbände gleichermaßen vor Herausforderungen.

I. Einleitung

Nach knapp eineinhalb Jahren Umsetzungsgesetz zur 4. EU-Geldwäsche-Richtlinie ist nun auch die Prüfungsrunde 2018 fast abgeschlossen. Wie zu erwarten, wiesen die Prüfungsberichte einige Feststellungen mehr aus als in den vergangenen Jahren. Dies ist letztlich der oben beschriebenen Vorgehensweise der Legislative geschuldet, da bisweilen auch auf Grund der betriebsbedingten Gesamtabläufe in den Häusern nicht alle neuen Anforderungen so zeitnah umgesetzt werden konnten. Ebenso standen auch noch nicht alle erforderlichen technischen Mittel zur Verfügung, um die neuen Regularien entsprechend abbilden zu können.

Die Verpflichteten nach dem GwG warten jetzt noch auf die novellierten Anwendungs- und Auslegungshinweise (AuA) der BaFin (waren zum Erstellungszeitpunkt dieses Beitrages noch nicht abschließend veröffentlicht, so dass diese hier nicht thematisiert werden). Die FIU kämpft immer noch mit dem Volumen von Verdachtsmeldungen, wenngleich sich die Zeiten ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Aufsicht veröffentlicht Protokoll zu Auslagerungen

Lukas Walla, Berater, FCH Consult GmbH

Die Aufsicht hat zwischenzeitlich das finale Protokoll mit dem Fachgremium MaRisk am 15.03.2018 veröffentlicht. Als wichtigen Punkt stellt die Aufsicht klar, dass eine Einstufung als sonstiger Fremdbezug nicht gleichbedeutend mit dem Nichtvorliegen eines Risikos ist. Dies verdeutlicht nochmals die Notwendigkeit eines Prozesses, der sich auf sämtliche Drittleistungen erstreckt und sonstige Fremdbezüge nicht von Beginn an ohne Beschäftigung mit den Risiken aussortiert.

Durch die Aufsicht festgestellte Mängel bei Mehrmandantendienstleistern werden auch weiterhin dem auslagernden Institut angerechnet. Darüber hinaus ist sich die Aufsicht bewusst, dass der Umgang mit Mehrmandantendienstleistern eine Herausforderung für die meisten Institute darstellt. Eine Mängelbeseitigung ist dann zusammen mit dem Mehrmandantendienstleister vorzunehmen und entsprechende Überwachungshandlungen sind durchzuführen. Für die Auswertung der oftmals sehr umfangreichen Berichte sind zentrale Interpretationshilfen für die Analyse zulässig. Ebenfalls können verbandsgeprüfte Institute sich einer zentralen verbandsseitigen Auswertung bedienen.

Die Aufsicht stellt klar, dass eine Auslagerung steuernder Bereiche in Drittstaaten nur schwer vorstellbar und auch seitens der europäischen Aufsichtsbehörden nicht gewünscht ist. Weiterhin bleibt die Aufsicht bei Ihrer Position, den Begriff „kleine Institute“ nicht final zu definieren.

Darüber hinaus wird der Betrieb einer Software in einer nicht selbst erstellten und betriebenen Cloud als Auslagerung eingestuft. Hier gelten dieselben Abgrenzungskriterien wie in Tz 1. Weiterhin wird lediglich die Unterstützungsleistung und nicht Software an sich als Auslagerung betrachtet. Dies umfasse auch die Wartung, sofern das Institut Patches vor dem einspielen nicht selbst testet und sich ein eigenes Bild verschafft.

Bezüglich der Risikoanalyse wird seitens der Aufsicht für wesentliche Auslagerungen ein jährlicher Turnus und für unwesentliche Auslagerungen ein Turnus von drei Jahren als angemessen erachtet.

Zusammenfassend lässt sich sagen, dass die Aufsicht einige Punkte klarstellen konnte, jedoch weiterhin viele Fragen offengeblieben sind. Bei der Umsetzung neuer Anforderungen im Bereich der Dienstleistersteuerung sollte unbedingt vorrangig auf eine konsequente Risikoorientierung geachtet werden.

 

 

Beitragsnummer: 56536

Prozessgestaltung durch ein Workflow-Managementsystem

Geht das überhaupt? Und was war eigentlich zuerst da?

Jochen Wurster, Abteilungsleiter Unternehmensservice, PSD Bank RheinNeckarSaar eG

 

 

 

 

 

Die Technik unterstützt die Prozesse, die im Rahmen der Ablauforganisation definiert wurden. Darüber sind sich alle Organisatoren einig. Passt das aber auch heute noch? Müssten wir da möglicherweise neu denken? Hängt in den Banken nicht alles von der Technik ab?

Strategische Leitplanken

Um es gleich an den Anfang zu stellen: Selbstverständlich bestimmt auch heute der Prozess die Technik und nicht umgekehrt. Aber gerade deshalb gilt es, für das eigene Haus strategische Leitplanken zum Technikeinsatz zu definieren.

Mit den in den Banken vorhandenen Kernbankverfahren können die Anforderungen zu einem großen Teil abgedeckt werden. Auch eine Prozesssteuerung kann mit diesen Systemen überwiegend realisiert werden, wenn auch unterschiedlich ausgeprägt. Natürlich gibt es auf dem Markt immer noch eine Software, die einen Teil der Aufgaben noch besser unterstützt. Aber lässt sich diese auch in die vorhandene Umgebung integrieren? Bevor neue Systeme angeschafft werden, gilt es für die Bank zunächst, die vorhandenen auch vollumfänglich zu nutzen. Nachdem dies erfolgt ist, werden noch vorhandene Lücken durch gezielte Ergänzung mit einem Satelliten-System geschlossen. Und tatsächlich sollte das Ziel ein System sein, kein bunter Wildwuchs, wie wir ihn historisch gewachsen heute oft in Banken vorfinden.

BUCHTIPP

Meier (Hrsg.), Praxisleitfaden Prozessmanagement, 2017.

 

 

 

Vorteile von Workflow-Managementsystemen

So banal es klingen mag: Einer der entscheidenden Vorteile von Workflow-Systemen ist, dass alle Mitarbeiterinnen und Mitarbeiter die gleichen Prozesse auch wirklich identisch bearbeiten. Nur bei volldigitalisierten Prozessen können die einzelnen Prozessschritte unveränderlich vorgegeben werden.

Damit wird eine ganz zentrale Grundlage für eine permanente Prozessoptimierung geschaffen. Eine Veränderung am digital definierten Prozess wird – vom System technisch erzwungen – unmittelbar von allen Anwendern umgesetzt.

Auch stehen erst mit digitalisierten Prozessen die notwendigen Daten für eine konsequente Prozessoptimierung zur Verfügung. Plötzlich muss nicht mehr darüber diskutiert werden, ob ein Prozess häufig vorkommt oder lange dauert, die Zahlen sind vorhanden.

Und erst mit digitalisierten Prozessen können Sie automatisierte Kontrollhandlungen einbauen. Nicht bei jedem Kleinstbetrag braucht es ein Vier-Augen-Prinzip. Sehr viele dieser Kleinstbeträge mit denselben Beteiligten könnten aber schon auffällig sein. Über ein Workflow-Managementsystem können Sie das erkennen und auffällige Prozesse einer zusätzlichen Prüfung unterziehen.

SEMINARTIPPS

Prozessmanagement 2.0 – Zukunftssicherheit & Ordnungsmäßigkeit, 04.04.2019, Köln.

FCH Innovation Days 2019, 24.–25.06.2019, Berlin.

Entschlackte Organisations-Richtlinien, 25.–26.09.2019, Köln.

 

Also doch erst die Technik, dann der Prozess?

Ja, ein Stück weit wird die Gestaltung der Ablauforganisation davon bestimmt, was die eingesetzte Technik leisten kann. Die meisten Systeme sind aber flexibel genug, um definierte Prozesse grundsätzlich abbilden zu können. Erst bei der konkreten Ausgestaltung im Detail gilt es, die Möglichkeiten, aber auch die Grenzen der Systeme zu kennen.

Ganz grundsätzlich ist aber festzuhalten, dass moderne Workflow-Managementsysteme sehr viele Möglichkeiten zur Prozessgestaltung bieten, die auch genutzt werden wollen. Dazu gilt es, altes Silodenken hinter sich zu lassen und einen Prozess End-to-End zu betrachten. Und es sollten, in Anlehnung an agile Strukturen, von Anfang an sowohl die Prozess- als auch die IT-Spezialisten einbezogen werden. Nur wenn die Möglichkeiten der Technik bekannt sind, können diese auch genutzt werden.

PRAXISTIPPS

  • Erst vorhandene Systeme vollumfänglich nutzen, bevor neue Satellitensysteme angeschafft werden.
  • Möglichst alle Prozesse digitalisieren und die dabei generierten Daten für eine kontinuierliche Prozessoptimierung nutzen.
  • Von Anfang an Prozess- und IT-Spezialisten in die Überlegungen zur Prozessgestaltung einbeziehen.

 

Beitragsnummer: 55832